Symantec hat mit Hilfe von Broadcom Software einen bisher nicht dokumentierten Dropper entdeckt, der zur Installation einer neuen Backdoor und anderer Tools verwendet wird, indem er Befehle aus scheinbar harmlosen Internet Information Services (IIS)-Protokollen liest.
Der Dropper (Trojan.Geppei) wird von einem Akteur, den Symantec als Cranefly (Schnake, auch bekannt als UNC3524) bezeichnet, verwendet, um eine andere, bisher nicht dokumentierte Malware (Trojan.Danfuan) und andere Tools zu installieren. Die Technik des Auslesens von Befehlen aus IIS-Protokollen wurde von Symantec-Forschern bisher noch nicht bei realen Angriffen eingesetzt.
Hintergrund der Cranefly-Aktivitäten
Mandiant veröffentlichte erstmals im Mai 2022 einen Bericht über Cranefly, in dem beschrieben wurde, dass die Gruppe es vor allem auf die E-Mails von Mitarbeitern abgesehen hatte, die sich mit Unternehmensentwicklung, Fusionen und Übernahmen (M&A) sowie großen Unternehmenstransaktionen befassten.
Die Angreifer hatten eine lange Verweildauer von mindestens 18 Monaten in den Netzwerken der Opfer und unternahmen Schritte, um unter dem Radar zu bleiben, indem sie Hintertüren auf Geräten installierten, die keine Sicherheitstools unterstützten – wie z. B. SANS-Arrays, Load Balancer und Wireless Access Point Controller. Mandiant stellte fest, dass die Angreifer eine neue Backdoor namens QuietExit herunterluden, die auf der Open-Source-Software Dropbear SSH-Client-Server basiert. Die ReGeorg-Web-Shell wurde bei den von Mandiant beobachteten Aktivitäten auch als sekundäre Hintertür verwendet.
Technische Details
Die erste bösartige Aktivität, die die Symantec-Forscher auf den Rechnern der Opfer entdeckten, war das Vorhandensein eines bisher nicht dokumentierten Droppers (Trojan.Geppei). Er verwendet PyInstaller, das ein Python-Skript in eine ausführbare Datei umwandelt.
Geppei liest Befehle aus einem legitimen IIS-Protokoll. IIS-Protokolle dienen der Aufzeichnung von Daten aus IIS, z. B. Webseiten und Anwendungen. Die Angreifer können Befehle an einen kompromittierten Webserver senden, indem sie sie als Webzugriffsanfragen tarnen. IIS protokolliert sie als normal, aber Trojan.Geppei kann sie als Befehle lesen.
Die von Geppei gelesenen Befehle enthalten bösartig verschlüsselte .ashx-Dateien. Diese Dateien werden in einem beliebigen, durch den Befehlsparameter festgelegten Ordner gespeichert und als Backdoors ausgeführt.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.